KR20110049282A - 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 - Google Patents

디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 Download PDF

Info

Publication number
KR20110049282A
KR20110049282A KR1020090106228A KR20090106228A KR20110049282A KR 20110049282 A KR20110049282 A KR 20110049282A KR 1020090106228 A KR1020090106228 A KR 1020090106228A KR 20090106228 A KR20090106228 A KR 20090106228A KR 20110049282 A KR20110049282 A KR 20110049282A
Authority
KR
South Korea
Prior art keywords
blocking
ddos
detection
module
attack
Prior art date
Application number
KR1020090106228A
Other languages
English (en)
Other versions
KR101042291B1 (ko
Inventor
박노원
Original Assignee
주식회사 컴트루테크놀로지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 컴트루테크놀로지 filed Critical 주식회사 컴트루테크놀로지
Priority to KR1020090106228A priority Critical patent/KR101042291B1/ko
Publication of KR20110049282A publication Critical patent/KR20110049282A/ko
Application granted granted Critical
Publication of KR101042291B1 publication Critical patent/KR101042291B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

DDoS 공격으로부터 보호하고자 하는 컴퓨팅 장치의 앞단에 위치하는 DDOS 탐지/차단 시스템으로서, 상기 컴퓨팅 장치를 목적지로 하여 유입되는 패킷에 대하여, 커널 레벨에서, 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 설정된 제1 임계치 및 상기 컴퓨팅 장치별로 설정된 제2 임계치에 기반하여 DDoS 공격을 탐지하고 차단하는 커널 기반 탐지/차단 모듈; 및 상기 커널 기반 탐지/차단 모듈에서 적용할 상기 임계치를 설정하는 임계치 설정모듈을 포함하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템이 제공된다.
DDoS, 디도스, DoS,  비정상트래픽, CC공격, 대량트래픽

Description

디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법{SYSTEM AND METHOD FOR DETECTING AND BLOCKING TO DISTRIBUTED DENIAL OF SERVICE ATTACK}
본 발명은 디도스(Distributed Denial of Service, 이하 DDoS라 함)공격에 대한 디도스 탐지/차단 시스템 및 그 방법에 관한 것으로, 상세하게는 기관 또는 기업체에서 운영되고 있는 네트워크에 대량의 트래픽이 유발되어 대역폭(Bandwidth)을 소진시키는 공격이 발생할 경우 대량의 네트워크 트래픽 공격을 효과적으로 방어할 수 있는 DDoS 공격에 대한 DDoS탐지/차단 시스템 및 그 방법에 관한 것이다.
네트워크 상에서 외부로부터 내부 시스템으로 유입되는 트래픽에는 네트워크를 위협하는 여러 공격들이 존재하게 된다. 따라서, 이러한 공격들을 차단하여 양호한 네트워크 망을 유지하기 위해 보안장비가 상기 내부 시스템에 설치된다. 또한, 이러한 공격 유형으로는 네트워크 대역폭(bandwidth)을 위협하는 Dos(Denial of Service), DDos(Distributed Denial of Service) 등이 대표적이고, 그 이외에도 다양한 해킹, 바이러스 공격 등이 있다.
Dos(Denial of Service) 공격은 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트를 공격하는 사이버 공격 방식의 하나로, 한명 또는 그 이상의 사용자가 시스템의 리소스를 독점하거나, 파괴함으로써 시스템이 더 이상 정상적인 서비스를 할 수 없도록 만드는 공격방법이다.
DoS 공격의 한 형태인 DDoS 공격은, 분산 설치된 다수의 공격 프로그램이 서로 통합된 형태로 목적 네트워크/서버에 트래픽을 집중시키는 공격이다. DDoS공격에 의해 다중소스로부터 결합된 패킷들은 타겟 시스템과 인터넷 연결을 파괴하게 되고 공격의 지속시간 동안 공격 타겟을 인터넷으로부터 격리시키면서 서버나 서비스를 무력화시킨다. 이러한 유형의 공격을 패킷 플러딩 디도스 공격( Packet flooding DDoS attack)이라고 한다.
이 수법은 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 타겟서버가 다른 정당한 신호나 서비스를 제공하지 못하도록 방해하는 작용만 한다. 즉 DDoS공격이 발생하면 다량의 유해트래픽이 네트워크에 유입되어 망 전체의 자원을 고갈시키는 대역폭 소모형 공격이 발생해서 망운용에 심각한 문제를 유발시키고 있다. 이와 같이 DDoS 공격은 일반적인 DoS 공격에 비해 탐지가 어려울 뿐만 아니라 훨씬 더 강력한 파괴력을 가지고 있다.
DDoS공격에 대응하기 위하여 일반적으로 다음과 같은 단계별 방어전략이 수립되어 사용되고 있다.
제1 단계는 초기에 DDoS발생기제를 억제하는 단계(Prevention stage)이다.
이때는 봇넷(Botnet)정보교환, 스푸핑 방지(Anti spoofing) 기술, 그리고 네트워크 장비단에서 IP정보를 파악하여 차단할 수 있는 방법이 동원될 수 있다.
초기에 DDOS공격의 원인이 되는 봇넷(BotNet)에 대한 정보를 탐지하여 관련 규모나 행태, 이력등을 파악하여 이러한 봇넷으로부터 노이즈(Noise)특성(이상행동 패턴)이 발생했을 경우 선제 대응할 수 있는 정보체계를 공유하는 것이다.
그러나 봇넷의 정보들, 예컨대 봇넷의 IP 정보나 URL 정보들은 일시적으로 생성되었다가 사라지는 특성을 가지고 있기 때문에 오랜시간 보유할 만한 가치가 있는 정보가 아니다. 이와 같이 봇넷의 정보들은 마치 스팸 차단 시스템의 블랙 IP 리스트같이 유효기간이 길지 않은 정보이기 때문에 DDOS대응시스템에서 활용하기 위해서는 아직 고려해야 할 사항이 많다.
이 단계에서는 네트워크 에지(edge)단의 라우터나 스위치 장비를 이용하여 DDoS공격의 발생 및 전파를 막도록 하는 인그레스/이그레스 필터링(Ingress / Egress filtering) 방식도 효과적인 방법이다. 그러나 기존 네트워크 장비에 이러한 기능보강을 위해서는 추가투자가 필요한 부분이어서 불특정한 DDoS공격을 방어하기 위해서 관련이 없는 ISP나 망사업자에게 장비를 투자를 유도하는 방안보다 네트워크 장비의 표준화 작업이라는 측면에서 접근하는 것이 효율적이라고 판단된다.
제2 단계는 탐지 단계(Detection stage)로서, 공격 목표지의 네트워크단에서 이루어지는 DDoS방어용 장비의 기능과 관련하여 기술적인 방어 능력을 보유하기 위해 정확한 탐지능력을 갖추어야 한다. 이러한 탐지능력은 NBA(Network Behavior Anaysis)라고 통칭하는 기술이며, 임계치의 프로파일을 기간별로 유지/저장하면서 트래픽의 시간대별, 기간대별 임계치를 파악하여 설정시 이의 값이나 프로파일을 이용하는 방식이다. 종래는 이러한 임계치의 값을 사이트별로 테스트를 통해서 지 정하는 방식이 사용된다.
그러나, DDoS탐지/차단장비는 관리자에게 현재 공격을 당하고 있는 상황을 시각적으로 보여주고 처리해는 기술이 요구되나 DDoS공격의 특성상 단시간에 시작되어 단시간에 네트워크가 마비되는 현상에 비추어 볼 때 별도의 하드웨어 또는 가속칩을 사용하는 구조가 유리하다고 하겠다.
제3 단계는 제2 단계의 기술적인 내용과 결합되어 탐지와 동시에 이루어지는 공격완화 내지는 차단기술의 적용단계이다.
일반적으로 탐지와 차단은 거의 동일한 수준의 시간대에 작동하게 되는데 이러한 시간차가 적을수록 DDoS방어용 장비의 효율은 높다고 할 수 있다. (제2 단계의 탐지 단계와 3단계의 차단단계는 별개의 분리된 단계라기 보다는 순차적으로 적용되는 개념으로 이해를 해야 한다.)
이상의 3단계를 고려하여 실제로 DDoS공격을 방어하기 위해서 제공되는 시스템은 다음 2가지 방식을 위주로 해서 차단방어장비나 시스템이 구성되어 있다.
첫번째 방식은 네트워크에서 네트워크 기반 공격에 대응하기 위해서는 네트워크간의 장비 연동 및 정보교환이 필요하며 네트워크 유해 트래픽 탐지/대응장치간의 연동을 위해서 스위치나 라우터등의 네트워크 장비와 ISP/ IX망 또는 국가망에서 정보협조와 지속적인 관리주체가 필수적인 차단방식이다.
도 1은 DDoS 공격에 대하여 에지 라우터(edge router)단에서 대응방법을 설명하기 위한 도면이다.
도 1을 참조하면, 근원지(source: S)(11)에서 에지 라우터(15)를 거쳐서 타 켓이 되는 B서버(13)로 DDoS공격을 할 경우 S(11)에서는 자기의 IP가 아닌 주소 A(12)의 IP로 스푸핑(spoofing)하여 공격을 하게 된다. 이 때 에지 라우터(15)에서는 S(11)가 포함되어 있는 서브네트워크(subnetwork) 대역의 IP가 아닌 경우 아웃바운드(outbound)되는 IP를 검사하여 차단하게 된다. 동일한 방법으로 공격을 받는 B 서버(13)가 소속되어 있는 네트워크의 에지 라우터(14)에서는 인바운드(Inbound) 되는 IP대역을 검사하여 사설 네트워크(private network)의 주소를 가지는 패킷을 차단할 수 있다.  이러한 이그레스/인그레스 필터링(Egress / Ingress filtering) 기법은 IP주소를 이용한 ACL(Access Control List)를 라우터에 적용하여 스푸핑된 패킷이 인터넷에서 영향을 미치기 전에 차단, 완화하는 기술이다.
대한민국 등록특허 10-0803029호(협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어방법)에서는 광대역네트워크 환경에서 공격이 발생하는 서브넷(subnet)과 공격 대상 서버가 위치하는 서브넷에서 각각 통계적인 기법으로 DDoS공격을 방어하는 네트워크 통계방법을 설명하고 있다. 즉 에지(edge) 라우터에서 인그레스 필터링(ingress filtering), 이그레스 필터링(egress filtering)을 적용하여 이를 중앙서버에서 관리할 수 있도록 응용하는 방식을 설명하고 있다. 이 부분은 개인기업이 아니라 공적으로 책임을 맡아서 수행할 수 있는 공식적인 기관의 관리, 감독하에서만 효과적으로 동작할 수 있는 방식이다. 그러나 민간 ISP는 자기와 상관없는 타겟 시스템을 위해서 ISP소유의 네트워크 장비의 업그레이드를 시행하길 원하지 않을 것이다.
이와 동시에 일반적인 네트워크 장비(라우터/스위치)단에서 블랙홀 라우 팅(blackhole routing)이라는 방법을 사용하여 유해한 패킷을 버리는 방법이 있는데, 이 방법은 일반적인 서버시스템에서의 ACL(Access Control List)처리기술에 대응하는 방법이라고 할 수 있다.
두 번째 방식은 네트워크 장비가 아닌 서버 장비에서 DDoS공격을 탐지/차단하는 경우이다.
종래의 DDoS 공격은 주로 근원지(source) IP를 스푸핑(spoofing)하여 타겟시스템을 공격하는 방식으로 이루어져 있다. 따라서 DDOS방어장비에서는 IP주소를 기반으로 하여 DDoS공격을 방어하는 차단로직이 구성되어 있다. 이러한 방어 로직의 경우 정확한 IP정보가 확보되어 있을 경우에는 차단효과가 있지만 대량의 스푸핑된 IP가 사용되는 경우 IP기반의 차단방식은 효과를 상실하고 만다
즉, IP가 블랙리스트에 등록되어 있는 경우 이를 차단하고 그렇지 않는 경우는 임계치(rate limit) 기준이나 씽크 쿠기(Sync-Cookies)방식을 이용하여 세션이 정상적인지 여부를 확인하는 방법이 사용되고 있다. 관련 내용은 대한민국 등록특허10-0858271(분산서비스 거부공격 차단장치 및 그 방법)에서 설명하고 있다.
상기 방법에 대하여 좀 더 자세하게는 대한민국 공개특허( 10-2007-0072368, 서비스 거부공격으로부터 서버를 보호하는 방법 및 장치)에서 대한민국 등록특허10-0858271의 종래의 쿠기(Cookies) 차단방식보다 더 구체적으로 수학적 모델링을 제시한 일반화 과정을 통해서 비용효율적인 계산과 알고리즘 적용방식으로 챌린지의 생성과 여기에 대한 DDoS탐지/차단장비의 응답방식을 제안하고 있다.
한편, 2009년 7월7일에 발생한 DDoS공격의 예를 보더라도 좀비PC에서 발생하는 작은 패킷들이 합쳐져서(대략 10만대에서 20만대 이상의 좀비PC가 동원됨) 합산된 트래픽이 단일 사이트나 기관으로 향하는 DDoS공격이 될 경우 네트워크 마비나 심각한 서버다운 같은 장애를 겪게 된다.
이와 같이 대량으로 특정 사이트나 네트워크에 발생하는 플러딩(flooding) 공격을 차단하기 위해서 DDoS공격 차단 장비가 네트워크 보호목적으로 사용되는 바, 7/7같은 DDoS공격이 발생하였을 경우 DDoS공격차단장비가 정상적인 차단역할을 못할 뿐만 아니라 오히려 DDoS공격차단장비가 다운되는 현상이 발견되었다.
이와 같이 대량의 트래픽에 대하여 DDoS장비가 방어하지 못하고 오히려 다운되는 현상은 기존의 DDoS공격차단장비가 갖고 있는 차단 로직 및 기능자체의 한계에서 비롯된 것으로 유추된다.
도 2내지 도 4는 2009년 7월8일에 발표된 한국정보 보호진흥원의 7/7 DDoS공격에 대한 보고서이다.
주로 HTTP 겟 플러딩(get flooding)이 주 공격형태였고 상대적으로 UDP / ICMP등의 비연결지향 프로토콜에 의한 공격은 규모가 미미했다. 또한 악성코드에 감염된 PC에서 발생하는 패킷도 사용자가 느낄 수 없을 정도로 미미했다. 즉 소규모 좀비(zombie) PC에 의한 공격은 수십만 대가 동원된 공격이지만 PC당 매우 소량의 공격( 100pps, 1Mbp 이하)으로 기존 보안장비를 우회하도록 구성되었다.
이러한 소규모 트래픽으로 접근할 경우(보통 CC공격이라고 불린다.), 네트 워크 보안장비는 개별IP에서 발생하는 소규모 트래픽을 탐지하지 못하지만 개별 트래픽이 한 서버로 집중될 경우 국가 공공기관의 웹서버가 다운되는 일들이 다수 발생하였던 것이다.
따라서 본 발명은 예컨대, 네트워크 대역폭의 95% 이상의 플러딩 공격이 감행되더라도 이를 탐지하여 차단할 수 있도록 하는 DDoS 공격에 대한DDoS 탐지/차단 시스템 및 그 방법 및 네트워크 구성방식에 대한 기술을 제공하는 데 그 기술적 과제가 있다.
아울러, 본 발명에서는 커널(kernel) 레벨에서 대량패킷을 처리하는 기술을 이용하여 네트워크 구성상의 지연시간(latency time)을 감소 및 DDoS공격차단장비의 장애로 인한 네트워크 단절을 회피할 수 있는 방법을 제시하고자 한다.
본 발명의 일측면에 의하면, DDoS 공격으로부터 보호하고자 하는 컴퓨팅 장치의 앞단에 위치하는 DDOS 탐지/차단 시스템으로서, 상기 컴퓨팅 장치를 목적지로 하여 유입되는 패킷에 대하여, 커널 레벨에서, 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 설정된 제1 임계치 및 상기 컴퓨팅 장치별로 설정된 제2 임계치에 기반하여 DDoS 공격을 탐지하고 차단하는 커널 기반 탐지/차단 모듈; 및 상기 커널 기반 탐지/차단 모듈에서 적용할 상기 임계치를 설정하는 임계치 설정모듈을 포함하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템이 제공된다.
바람직하게는, 상기 커널 기반 탐지/차단 모듈은, 이더넷 인터페이스를 통해 유입되는 패킷을 수집하는 패킷 수집 모듈; 상기 패킷 수집 모듈에 의해 수집된 패킷에 의한 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하는 탐지 모듈; 및 상기 DDoS공격이 탐지되는 경우 해당 패킷을 차단하는 차단 모듈을 커널 레벨에 포함한다.
바람직하게는, 상기 탐지 모듈은 비연결형 프로토콜 및 연결형 프로토콜을 처리한다.
바람직하게는, 상기 탐지 모듈은 설정된 정책 또는 프로토콜 종류에 따라 트래픽 공격을 탐지할 수 있다. 바람직하게는, 상기 임계치 설정모듈은 프로토콜별로 임계치를 설정할 수 있다.
바람직하게는, 상기 커널 기반 탐지/차단 모듈은 상기 제2 임계치를 상기 제1 임계치보다 우선하여 상기 탐지 및 차단을 위한 조건으로 사용할 수 있다.
바람직하게는, DDoS 탐지/차단 시스템은 정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈을 더 포함할 수 있다.
바람직하게는, 상기 캐시 관리 모듈은 일정시간마다 상기 커널 기반 탐지/차단 모듈에 의해 차단된 근원지의 IP 정보를 저장하고 있는 캐시를 리셋시켜줄 수 있다.
바람직하게는, 상기 DDoS 탐지/차단 시스템은 유입되는 패킷을 미러링하는 미러링 장치; 및 상기 미러링 장치를 경유하여 유입된 패킷을 제1 경로 또는 제2 경로로 절환시켜 상기 컴퓨팅 장치에 출력하는 절환 스위치를 더 포함하고, 상기 커널 기반 탐지/차단 모듈은, 상기 미러링 장치에 의해 미러링된 패킷을 전달받아, 커널레벨에서, 해당 패킷의 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하고, DDoS 공격이 탐지되지 않는 경우에는 제1 경로를 위한 절환 지시 신호를, DDoS 공격이 탐지되는 경우에는 제2 경로를 위한 절환지시 신호를 상기 절환 스위치에 출력하는 탐지 모듈; 및 상기 DDoS공격이 탐지되는 경우, 상기 절환 스위치를 통해 패킷을 전달받아 커널 레벨에서, DDoS차단을 수행하는 차단 모듈을 포함하되, 상기 제1 경로는 상기 절환 스위치, 상기 컴퓨팅 장치로 연결되는 경로이고, 상기 제2 경로는 절환 스위치, 상기 차단 모듈, 상기 컴퓨팅 장치로 연결되는 경로일 수 있다.
본 발명의 다른 측면에 의하면, DDoS 공격으로부터 보호하고자 하는 컴퓨팅 장치의 앞단에 위치하는 DDOS 탐지/차단 시스템에서의 DDoS 공격에 대한 DDoS 탐지/차단방법으로서, DDoS 공격의 탐지 및 차단에 적용할 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 제1 임계치 및 상기 컴퓨팅 장치별로 제2 임계치를 설정하는 단계; 및 커널 레벨에서, 유입되는 패킷에 대하여, 상기 설정된 임계치들에 기반하여 DDoS 공격에 대한 탐지 및 차단을 수행하는 단계를 포함한다.
바람직하게는, 상기 탐지 및 차단을 수행하는 단계는, 이더넷 인터페이스를 통해 유입되는 패킷을 수집하는 단계; 상기 수집된 패킷에 의한 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하는 단계; 및 상기 DDoS공격이 탐지되는 경우 해당 패킷을 차단하는 단계를 커널 레벨에서 수행한다.
바람직하게는, 상기 탐지 및 차단하는 단계는 상기 제2 임계치를 상기 제1 임계치보다 우선하여 상기 탐지 및 차단을 위한 조건으로 사용할 수 있다.
바람직하게는, 상기 DDoS 탐지/차단방법은 정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 캐시를 관리하는 단계는, 일정시간마다 상기 차단된 근원지의 IP 정보를 저장하고 있는 캐시를 리셋시켜 줄 수 있다.
바람직하게는, 상기 DDoS 공격에 대한 탐지 및 차단을 수행하는 단계는, 미러링 장치를 통해 유입되는 패킷을 미러링하는 단계; 상기 미러링 장치를 경유하여 유입된 패킷을 절환 스위치를 이용하여 제1 경로 또는 제2 경로로 절환시켜 상기 컴퓨팅 장치에 출력하는 단계를 더 포함하되, 상기 DDoS 공격에 대한 탐지 및 차단을 수행하는 단계는, 상기 미러링 장치에 의해 미러링된 패킷을 전달받아, 탐지 모듈을 이용하여 커널레벨에서, 해당 패킷의 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하고, DDoS 공격이 탐지되지 않는 경우에는 제1 경로를 위한 절환 지시 신호를, DDoS 공격이 탐지되는 경우에는 제2 경로를 위한 절환지시 신호를 상기 절환 스위치에 출력하는 단계; 및 상기 DDoS공격이 탐지되는 경우, 차단 모듈을 이용하여 상기 절환 스위치를 통해 패킷을 전달받아 커널 레벨에서, DDoS차단을 수행하는 단계를 더 포함하되, 상기 제1 경로는 상기 절환 스위치, 상기 컴퓨팅 장치로 연결되는 경로이고, 상기 제2 경로는 상기 절환 스위치, 상기 차단 모듈, 상기 컴퓨팅 장치로 연결되는 경로일 수 있다.
본 발명의 일실시예에 의하면, 종래에 사용되던 DDoS방어장비의 성능한계를 높이기 위하여 기존의 장비의 하드웨어적인 성능에만 의존하여 방어성능을 높이고자 하는 시도에서 벗어나, 최적의 S/W구조설계의 결과로써 범용장비에서도 DDoS공격을 효과적으로 차단할 수 있다.
또한, 본 발명의 일실시예에 의하면, 임계치 기준을 상세하게 서버별로 또한 서버내에서도 프로토콜별로 설정할 수 있어서 DDoS공격유형의 하나인 CC(Cache Control) 공격에 대응할 수 있도록 정책설정 기능이 보강될 수 있다.
또한, 본 발명에 일실시예에 의하면, DDOS공격 방어가 완료된 후에 차단된 임시룰을 제거함으로써 DDoS탐지/차단 기능외에도 원상태로 네트워크 흐름을 원활하게 할 수 있다.
또한, 본 발명의 다른 실시예에 의하면, DDoS탐지/차단 시스템을 구현함에 있어, DDoS 탐지 시스템과 DDos 차단 시스템을 별도로 구현하여, DDoS탐지 시스템 및 DDoS차단 시스템이 DDoS 공격이 발생하지 않는 평소에는 비-인라인(Not-in line) 방식으로 연결되고, DDoS 공격이 발생하는 경우에는 인라인 방식으로 연결되게 함으로써 DDoS공격발생시에만 평상시의 경로와 다른 경로로 네트워크 흐름이 연결되어 차단동작이 수행되게 된다. 이렇게 함으로써, 네트워크와 서버 사이에 DoS탐지/차단 시스템의 설치로 인하여 네트워크 라인에 부하(응답지연)가 발생하여 장비가 설치되기 이전보다 사용자의 네트워크 환경 이용에 불만을 느낄 수 있는 요소를 제거할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명을 상세하게 설명하도록 한다.
도 5는 본 발명의 일실시예에 따른 DDoS 공격에 대한DDoS탐지/차단 시스템의 구성 블록도이다.
도 5를 참조하면, 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템 (100)은 DDoS 공격에 사용되는 좀비 PC들(200)이 연결되는 네트워크(20)에 대하여 보호하고자 하는 서비스 서버들(300, 400, 500)의 앞단에 설치된다.
상기 DDoS탐지/차단 시스템(100)은 커널 레벨에서, 유입되는 패킷에 대하여, 설정된 임계치에 기반하여 유해 트래픽에 대한 탐지 및 차단을 수행하는 커널 기반 탐지/차단 모듈(110), 상기 커널 기반 탐지/차단 모듈(110)에서 적용할 서버별 임계치를 설정하는 임계치 설정모듈(120), 일정시간 정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈(130)을 포함할 수 있다.
상기 커널 기반 탐지/차단 모듈(110)은 네트워크(20)를 통과하여 내부망으로 유입되는 패킷을 신속하게 처리하기 위해서 커널 레벨에서 패킷을 빠르게 캡쳐하여 트래픽 공격을 탐지하고 차단한다.
상기 커널 기반 탐지/차단모듈(110)은 대량의 플러딩 공격 발생시 유저 스페이스 레벨에서 처리능력의 한계로 인한 장애발생 가능성을 없애기 위해서 주로 커널 레벨에서 비연결지향 프로토콜은 물론 연결지향 프로토콜까지 차단하는 기능을 포함하도록 구성될 수 있다.
상기 임계치 설정 모듈(120)은 예컨대, 보호해야 할 서버들의 상세정보와 서버별 서비스대역폭을 고려하여 정책설정을 설정함으로써, 서버별 임계치를 설정 할 수 있다.
상기 임계치 설정 모듈(120)은 전체 임계치에 제한받지 않고 서버의 IP별로 임계치를 주어서 트래픽 공격을 차단할 수 있게 한다.
상기 캐시 관리 모듈(130)은 일정 시간 예컨대, 5분동안 패킷을 차단하고 이후에는 차단된 패킷 근원지의 IP 정보를 저장하고 있는 캐시를 리셋시켜 두어 동일한 IP로 차단되지 않게 할 수 있다.
이와 같이 구성된 DDoS 탐지/차단 시스템(100)은 보호하고자 하는 서버별로 임계치를 설정하고, 커널 레벨에서 대량 트래픽을 처리하고, 캐시를 제어함으로써, 대량 플러딩 공격에 대응할 수 있고, 소규모 트래픽으로 인한 CC공격을 방어하고 HTTP공격과 같이 연결지향성 프로토콜에 대하여 효과적으로 방어, 차단할 수 있다.
상기 DDoS 탐지/차단 시스템(100)을 구성하는 커널 기반 탐지/차단 모듈(110), 임계치 설정 모듈(120), 및 캐시 관리 모듈(130)의 기능 및 동작을 좀더 상세하게 설명하기에 앞서, 본 발명의 성능 및 장점이 잘 드러날 수 있도록 각 구성요소들의 동작과 연관된 기술들에 대하여 설명하도록 한다.
커널 레벨에서의 대량 트래픽 처리
본 발명의 일실시예에 따른 커널 기반 탐지/차단 모듈(110)은 커널 레벨에서 대량 트래픽을 처리하도록 구성되어 있다. 이와 연관된 기술사항들에 대하여 설명하도록 한다.
DDoS공격이 발생하면 DDoS방어장비에서는 패킷을 수집하여 이를 프로토콜의 종류에 따라 분류하여, 차단조건과 임계치를 적용할 수 있을 것이다. 아울러, DDoS공격의 경우 탐지되는 프로토콜의 종류에 따라 유저 스페이스(User Space)에서 처리하는 경우와 커널 스페이스(Kernel Space)에서 처리하는 경우로 구분하여 처리할 수 있을 것이다.
도 6은 TCP 프로토콜의 접속의 과정을 나타내는 도면이다.
도 6에 도시된 바와 같이 연결지향 프로토콜(예: TCP경우)의 경우 클라이언트(61)와 웹서버(62) 사이에 3 웨이 핸드쉐이크(Three way handshake)를 마친 후 접속(connection)이 성공한 상태에서 클라이언트측 요청을 받아들여 서버(62)측에서 자원을 클라이언트(61)에게 할당해준다.
그러나 DDoS공격이 대량으로 플러딩된 상태에서는 이 같은 접속 작업은 그 자체로도 웹서버와 DDoS방어장비에 부하가 발생되는 요인이 될 수 있고 접속이 맺어진 상태에서도 이후에 시그니쳐(signature)기반으로 컨텐츠를 분석하여 DDoS공격여부를 판단할 경우 DDoS탐지/차단시스템과 웹서버에는 많은 리소스가 소모되며 이 같은 차단 로직으로는 DDoS공격을 탐지하여 방어용으로 설치된 장비가 오히려 DDoS공격으로 인해 장애가 발생하는 경우가 발생한다.
도 7은 비교예에 따른 DDoS방어 장비에서 구현되고 있는 DDOS탐지/차단을 설명하기 위한 도면으로, 이후에 설명될 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템에서 구현되고 있는 DDOS탐지/차단과 비교될 것이다.
도 7을 참조하면, 패킷이 이더넷 인터페이스(71)를 통해 전달되고, 커널 레벨에서 패킷수집모듈(72)에 의해 패킷의 재조합 작업 및 프로토콜 분류작업을 위한 처리가 이루어진다. 이때 패킷수집모듈(72)에서 연결지향프로토콜로 분류된 경우 유저 스페이스로 복사하여 연결지향 프로토콜 탐지모듈(75)로 보내게 된다. TCP와 같은 연결지향 프로토콜에 대해서는 접속 연결요청에 대한 검증작업을 거친 후 서버와 클라이언트사이에 접속을 맺도록 해준다. 이 과정은 일반적인 프록시 서버의 기능으로 DDoS방어 장비의 프록시 모듈(유저 스페이스에 존재)이 이 연결기능을 담당하게 된다. 프록시 모듈이 동작하는 가운데 연결지향 탐지모듈(75)과 차단모듈(76)이 DDoS공격을 방어하는 기능을 수행한다. 이렇게 수집된 패킷이 프로토콜 종류에 따라서 A경로와 B경로를 거치게 되며 각각의 계층에서 탐지/차단모듈(73,74,75,76)이 동작하는 구조이다.
이러한 비교예에 따른 DDoS방어의 단점은 유저 스페이스 레벨에서 처리량이 많아질 경우, 이를 처리할 수 있는 하드웨어 성능의 한계로 인해 시스템 장애가 자주 발생한다는 사실이다. 이는 주로 커널 스페이스가 아닌 유저 스페이스 레벨에서 발생하는 문제가 시스템 전체에 영향을 끼쳐 장애가 발생하는 경우이다. 즉, 비교예에 따른 DDoS 공격 방어시 프록시 방식으로 구현할 경우, 세션 연결과 TCP 트래픽에 대한 유효성 판단을 위해 클라이언트의 요청을 해당 웹서버에 연결하기 전에 프록시 모듈이 이를 검증하는 과정이 필요한데, 이 과정에서 비교예에서의 DDoS 방어 장비는 과부하를 견디지 못하고 오히려 DDoS 공격으로 인해 장비가 다운되는 현상이 발생되는 것이다.
따라서, 본 발명의 일실시예에 따른 커널 기반 탐지/차단 모듈(110)은 비교예에서의 프록시 모듈에서 구현하고자 했던 TCP 및 HTTP 패킷의 DDoS공격 탐지 및 차단을 커널 레벨에서 구현함으로써 이러한 문제점을 해결하였다.
서버별 임계치 설정
본 발명의 일실시예에 따른 임계치 설정 모듈(120)은 보호하고자 하는 서버별로 임계치를 설정하도록 구성되어 있다. 이와 연관된 기술사항들에 대하여 설명하도록 한다.
도 8은 비교예에 따른 DDoS방어 장비에서 임계치를 설정하는 것을 설명하기 위한 도면으로서, 이후에 설명될 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템에서의 임계치 설정과 비교될 것이다.
통상의 임계치 설정기준은 DDoS탐지/차단을 위한 DDoS 방어 (91)가 설치되어 있는 네트워크 대역대에 따라서 설정될 수 있을 것이다. 도 9를 참조하면, 1Gbps 인터넷라인이 외부와 연결되어 있고 외부인터넷 접점구간( 백본망등의  라우터나 게이트웨이단)에 DDoS탐지/차단을 위한 DDoS방어 시스템(91)이 설치되어 있을 경우이다. 외부의 트래픽이 내부네트워크로 전달되기 전에 DDoS방어 장비(91)를 반드시 거치도록 네트워크 구성이 되어 있어서   DDoS방어 장비(91)에서는 전체적으로 통과 트래픽을 제어할 수 있는 임계치 설정기능을 보유할 수 있다.
평상시 정상 트래픽량을 400Mbps일 경우 평균 트래픽이 50% 이상 증가하였을 경우 차단한다고 정책설정이 되어 있을 경우, 즉 600Mbps단계에서부터 차단이 이루어지도록 임계치 설정을 한 경우로 가정한다. 이 경우에는 1Gbp대역폭을 관장하는 DDoS방어 장비(91)에서 전체 임계치 600Mbps를 기준으로 차단이 이루어진다.  따라서 DDoS방어 장비(91)의 뒷단에 설치되어 있는 웹서버#1(93), 웹서버#2(94), 웹서버#3(15)에 대하여 별도의 임계치를 지정하고 있지는 못하기 때문에 서버별로 필요한 임계치를 설정할 수 없는 문제가 있어서 서버별로 필요한 대역폭 특성을 반영하지 못하고 있다.
예를 들면 웹서버#3(95)이 일반적으로 웹서버#1(96)에 비해서 대역폭을 많이 사용한다고 하면 DDoS 방어 장비(91)에서 설정된 임계치만으로는 동영상 서비스 제공서버(95)에서 사용가능한 대역폭을 확보하지 못한 채 DDoS방어 장비(91)에서 트래픽을 차단할 수 있다. 비교예에서의 DDoS방어 장비는 이와 같은 단점을 노출하고 있다.
한편, 도 4 내지 도 6에서 참조되었던 7/7 DDoS공격의 분석자료에서 볼 수 있는 바와 같이 악성코드에 감염된 개인PC에서는 시간을 두고 천천히 공격이 진행하기 때문에 사용자도 이와 같은 PC의 이상증세를 감지하기가 어렵다.
따라서, 본 발명의 일실시예에 따른 임계치 설정 모듈(120)은 서버별로 임계치를 설정함으로써, 이와 같은 저강도의 DDoS공격이 장시간 지속되면서 DDoS공격을 발생시키는 CC(cache control)공격에 대하여도 효과적인 방어를 수행할 수 있게 하였다.
이하에서는 위에서 살펴본 비교예에서의 기술적 사항을 토대로 도 5에 도시된 커널 기반 탐지/차단 모듈(110), 임계치 설정 모듈(120), 및 캐시 관리 모듈(130)의 기능 및 동작을 좀더 상세하게 설명하도록 한다.
도 9은 도 5에 도시되었던 본 발명의 일실시예에 따른 DDoS탐지/차단 시스 템의 커널 기반 탐지/차단 모듈의 구성 블록도이다.
도 9를 참조하면, 본 발명의 일실시예에 따른 커널 기반 탐지/차단 모듈(110)은 커널 레벨에서 DDoS탐지 및 차단을 수행할 수 있도록 패킷 수집 모듈(111), 탐지 모듈(112), 및 차단 모듈(113)을 포함하여 구성될 수 있다.
상기 패킷 수집 모듈(111)은 이더넷 인터페이스(eth0)(114)를 통하여 패킷을 전달받는다. 패킷 수집 모듈(111)은 패킷을 재조합한 후 비연결지향/연결지향 프로토콜을 구분하지 않고 탐지모듈(112)로 전달한다.
상기 탐지모듈(112)은 개별적인, 특수한 DDoS방어로직(예: 임계치 기준(rate limit))에 기반하여 DDoS공격여부를 판단한다. 탐지 모듈(112)에 의해서 DDoS공격이 검출되면 검출된 DDoS공격은 차단모듈(113)에서 부여된 정책설정에 따라서 빠른 속도로 패킷 드롭(drop)을 발생시킨다.
차단모듈(113)은 임계치 기준(rate limit)의 기능을 사용하여 임계치 차단을 수행하는 동작을 수행한다. 그렇지만, 본 발명은 이에 제한되지 않으며 차단모듈(113)은 특별한 정책설정이나 프로토콜 종류에 따라 그 차단조건들의 조합된 결과로 DDOS공격에 해당하는 패킷들을 차단할 수 있다. 차단 모듈(113)에서의 차단 동작 형태는 DDoS탐지/차단시스템의 종류에 따라서 다르게 적용될 수 있다.
상기 차단모듈(113)은 커널 레벨에서 미리 설정된 방어정책에 의해 패킷 차단을 수행할 수 있다. 차단모듈(113)은 기본 룰(basic rule), IP룰, 시간 기반 룰(time base rule)의 3가지 방어 정책에 의해 패킷 차단을 수행하도록 구성될 수 있다.
도 10을 참조하면, 차단모듈(113)은 기본 룰 모듈(113a), IP룰 모듈(113b), 시간 기반 룰 모듈(113c)을 포함할 수 있다.
상기 기본 룰 모듈(113a)은 기초(default) 임계치 룰 및 서버별 임계치 룰을 적용하도록 구성될 수 있다. 상기 기초 임계치 룰은 기초적으로 설정된 대역폭 임계치에 기반하여 공격 패킷을 차단하도록 적용되는 차단 정책 룰이며, 상기 서버별 임계치 룰은 IP 정보를 기준으로 서버별로 설정된 대역폭 임계치에 기반하여 공격 패킷을 차단하도록 적용되는 차단 정책 룰이다. 상기 기본 룰 모듈(113a)은 패킷에 포함된 IP 정보 필드를 참조하여 기초 임계치 룰 및 서버별 임계치 룰을 적용한다.
상기 IP 룰 모듈(113b)은 임시 룰(temp rule) 및 네트워크 룰(network rule)을 적용하도록 구성될 수 있다. 상기 IP 룰 모듈(113b)은 상기 캐시 관리 모듈(130)에서 주어지는 차단할 패킷의 IP 정보를 기반으로 하여 해당 IP를 근원지(surce) IP로 포함하고 있는 패킷을 차단한다. 상기 임시 룰은 IP정보를 기준으로 공격 패킷을 차단하고 일정 시간이 경과하면 해당 IP에 대한 차단을 해제하도록 적용되는 차단 정책 룰이다. 상기 네트워크 룰은 IP를 기준으로 공격 패킷을 차단하되 연관성 있는 네트워크의 범위를 지정하여 해당 범위에 속하면 차단하도록 적용되는 차단 정책 룰이다.
상기 시간 기반 룰(time based rule) 모듈(113c)은 일정시간별 통과 패킷을 규정하는 임계치에 의해 공격 패킷을 차단하도록 적용되는 차단 정책 룰로서, 프로토콜별로 각각 설치되는 사이트(site)에 맞추어 해당 임계치가 정해진다. 상기 시 간 기반 룰 모듈(113c)은 프로토콜별로TCP 룰(113d), UDP 룰, ICMP/IGMP 룰, ARP 룰로 구분될 수 있다. 여기에서 상기 TCP 룰(113d)은 TCP연결지향 프로토콜인 경우에 적용되는 차단 정책으로서, 세션 제어, TCP 유효성 및 HTTP유효성을 검사하기 위한 것이다. 상기 TCP 룰(113d)은 도 11에 도시된 바와 같이 세션 제어 룰 모듈(113e), TCP 유효성 룰(validation rule) 모듈(113f), HTTP 유효성 룰 모듈(113g)을 포함할 수 있다.
상기 세션 제어 룰 모듈(113e)은 IP별로 세션 제어를 수행할 수 있는데, IP별로 세션의 재형성 요청(예컨대 F5를 이용한)이 일정 횟수를 초과하는 경우 해당 패킷을 차단할 수 있으며, 또는 IP별로 세션의 재형성 요청(예컨대 F5를 이용한) 간격이 일정 시간 범위내에 속하는 경우 해당 패킷을 차단할 수 있다.
상기 TCP 유효성 룰 모듈(113f)은 각종 TCP flag 즉, Syn, Ack, Fin, Rst에 대하여 임계치를 정하고 이를 초과하는 연결요청에 대해서는 해당 IP를 차단하게 된다. HTTP유효성 모듈(113g)은 패킷 데이터에 예컨대, 특정 시그니쳐, 구문 오류, 문법오류, 세그멘테이션 오류가 포함된 공격 패킷을 차단하는 차단 룰이다. 상기 HTTP유효성 모듈(113g)은 예컨대, Get flood / CC attack / Slowloris / Extra Bot(기타 봇넷) 에 해당하는 공격을 차단한다. 이렇게 함으로써, 현재까지 알려진 DDoS공격의 대부분의 공격유형을 파악해서 차단할 수 있게 된다. 기타 봇넷에 대한 특수한 공격방식은 해당 해킷의 페이로드(payload)값을 분석하여 추가 필터링에 대한 방법을 고안함으로써 차단할 수 있다.
상기 차단 모듈(113)은 상술한 차단룰들을 적용하여 공격 패킷에 대한 차단 을 수행함으로써 대규모 DDoS공격이 발생할 경우 대규모 공격트래픽을 감소, 차단할 수 있음에 따라 DDOS탐지/차단시스템(100)이 정상적으로 동작하게 할 수 있다.
아울러, 상기 차단 모듈(113)은 상기 적용하는 차단 룰을 예컨대 5분마다 새롭게 적용함으로써 보호해야 할 네트워크나 서버도 정상적으로 서비스를 수행할 수 있게 한다. 이에 따라, DDoS공격의 발생에 의해 임의의 서버 IP에 대한 사용자의 접근이 차단룰에 적용되어 차단되었다고 하더라도, 사용자가 예컨대, 5분정도의 시간후에 다시 재접속을 시도하면, DDoS공격이 소멸되었을 경우 해당 서버에 접근이 가능함에 따라 원하는 서비스를 다시 요청하여 정상적으로 서버가 응답할 수 있는 것이다.
도 12는 도 5에 도시되었던 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템(100)의 임계치 설정 모듈(120)이 서버별 임계치를 설정하는 것을 설명하기 위한 도면이다.
도 12를 참조하면, DDoS 탐지/차단 시스템(100)에 현재 웹서버 3대(#1, #2, #3) 가 연결되어 있을 경우, 각각의 임계치 설정은 다음과 같은 과정을 거쳐서 설정이 완료된다.
상기 임계치 설정 모듈(120)(도 5에 도시됨)은 DDOS탐지/차단 시스템(100)의 뒷 단에 연결되어 있는 웹서버(300,400,500)을 인식할 수 있도록 인터넷 또는 내부네트워크에서 유일하게 부여된 IP정보를 등록하는 과정(P1)과 등록된 IP를 선택하여 해당서버의 임계치를 입력, 설정하는 과정(P2)을 수행한다.
이렇게 구성함으로써 얻는 이점은 2가지이다. 첫번째 잇점은 공격대상서버 가 DDoS공격을 받을 경우 도 8에 도시된 비교예의 DDoS방어 장비(11)에서는 공격대상서버(93, 94, 95)로 향하는 패킷의 중간단계에서,즉 물리적으로 방어 장비(91)가 설치되어 있는 위치에서 임계치 차단동작을 수행하기 때문에 과탐(false positive)이 발생할 수 있는 가능성을 최대한으로 줄일 수 있는 잇점이 있다.  
두 번 째 잇점은 CC공격에 대한 방어능력을 향상시킬 수 있는 점이다. 즉 공격서버 자체에 대하여 개별적으로 임계치를 설정하기 때문에 DDoS 탐지/차단 시스템(100)이 관장하는 트래픽 전체에 대하여 임계치 설정을 하였을 때보다도 차단율이 높다는 점이다.
이렇게 서버별로 설정함으로써 7/7 DDoS공격과 같이 CC공격이 발생하더라도 해당서버 단에서 보다 정밀하게 차단할 수 있는 기능을 제공한다.
도 13은 도 5에 도시되었던 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템(100)의 임계치 설정 모듈(120)이 서버별 임계치를 설정하는 것을 설명하기 위한 도면이다.
DDoS공격은 예전의 공격방식에서 벗어나 봇넷의 구성, 행동방식등에 변종이 발생하고 있어서 공격형태는 점점 다양해지고 있다. 이러한 각각의 공격방식에 대한 차단기준(임계치설정)은 DDoS 탐지/차단 시스템(100)이 보유하고 있는 방어기능에 따라서 달라지지만 도시된 바와 같이 임계치를 각 서버별(서버#1, 서버#2, 서버#3, 서버#4)로 설정하여 차단할 수 도 있고, 임계치를 각 서버내에서 프로토콜별(TCP 세션, UDP, ICMP)로 설정하여 차단할 수 있는 실시예를 보여주고 있다.
다양한 DDoS공격에 대한 차단기능이 개발될 때마다 매트릭스(matrix)형태의 차단조건(각 서버별/프로토콜별의 설정에 따른 차단조건)을 DDoS 탐지/차단 시스템(100)에 설정함으로써 실시간으로 유해 트래픽을 효과적으로 차단할 수 있다.
도 14는 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템에서 2가지의 임계치 조건이 적용되는 우선 순위를 설명하기 위한 도면이다.
도 14를 참조하면, 네트워크 대역폭 기준으로 설정되어 있는 임계치 조건(#1)과 서버별로 설정되어 있는 임계치 조건(#2)가 적용되는 우선순위에 대한 설명이다. 즉, DDoS 탐지/차단 시스템(100)에 네트워크 대역폭 기준으로 임의의 임계치가 설정되어 있고, 서비스 서버들(300,400,500)별로 임의의 임계치들이 설정되어 있을 때, 각 웹서버(300, 400, 500)에 대하여 설정된 차단 조건이 네트워크 대역폭 기준으로 설정되어 있는 차단 조건보다 먼저 적용된다.
앞의 일련의 과정속에서 DDoS탐지 및 차단을 수행하는 DDoS 탐지/차단 시스템에서 보호해야 할 서버들의 상세정보와 서버별 서비스대역폭을 고려하여 정책설정을 하는 과정과, 커널 레벨에 탐지/차단모듈이 일원화되어 구현된 커널 기반 탐지/차단 모듈의 동작을 살펴보았다.
이제는, 커널 기반 탐지/차단 모듈(110)에 의해 유해 트래픽이 차단된 후 일정시간이 경과하여 DDoS공격이 종료되거나 트래픽의 양이 임계치 이하로 떨어졌을 경우, 캐시 관리 모듈(130)이 DDoS공격으로 인해 차단된 조건들을 원상복구 시켜서 서비스가 정상적으로 동작하기 위한 일련의 해제과정을 수행한다. DDoS 공격에 사용한 IP는 보통 스푸핑(spoofing)된 IP로 이루어진다. 따라서 임계치 정책설정에 의해서 차단된 근원지(source) IP 는 보통 로그에 공격유형과 함께 차단된 IP 기록을 갖고 있다. 
그렇지만, 실제적으로 공격용 근원지(source) IP는 위조된 경우가 대부분이기 때문에 DDoS 탐지/차단 시스템(100)에서는 차단된 트래픽에 상응하여 차단된 IP를 캐시 관리 모듈(130)을 이용하여 저장하고 이를 일정시간이 경과 후 해제하는 순서를 거친다.
도 15는 본 발명의 일실시예에 따른 DDoS 탐지/차단 시스템의 캐시 관리 모듈(130)이 차단된 IP 정보를 활용하거나 특정시간 이후에 차단 IP정보를 리셋시키는 것을 설명하기 위한 도면이다.
도 15를 참조하면, 캐시 관리 모듈(130)은 차단 IP저장 모듈(131)과 리셋 모듈(132)을 포함할 수 있다. 상기 차단 IP 저장 모듈(131)은 차단 모듈(112)에 의해 차단된 근원지의 IP 정보를 저장하고 있는 캐시를 포함할 수 있다. 상기 리셋 모듈(132)은 일정시간마다 차단 모듈(112)에 의해 차단된 근원지의 IP 정보를 저장하고 있는 차단 IP저장 모듈(131)을 리셋시킬 수 있다.
특정 사이트로 DDoS공격이 발생되면 IP헤더와 페이로드(data)를 포함하는 패킷에 대하여 탐지 모듈(112)의 임계치 기준에 의해서 차단모듈(113)은 차단동작을 수행한다. 차단모듈(113)은 임계치값을 기준으로 DDOS공격패킷을 필터링하여 정상 패킷은 통과시키고 비정상 패킷에 해당하는 해당 IP정보는 별도의 임시 저장소인 차단 IP저장 모듈(131)에 저장하게 된다. 이때, DDoD공격이 발생될 경우 차단 IP는 수백만 개에 달할 수 있다. 저장된 차단 IP는 특정시간내에(예: 5분) 동일한 IP에서 공격이 발생할 경우 이를 정확하게 차단할 수 있으며 특정시간 이후에 (예: 5분)는 리셋 모듈(132)에 의해서 차단 IP 저장 모듈(131)에 저장된 IP가 순차적으로 삭제된다. DDoS공격의 종료여부를 보장할 수는 없지만 이와 같이 차단 IP 저장 모듈(131)에 저장된 IP정보는 일정한 시간이 경과한 후에는 모두 제거될 수 있도록 처리된다. 차단 IP 저장 모듈(131)에 저장되어 있는 임시룰의 결과물(차단 IP들)을 소거하여 일정시간이 경과한 후에 이를 다시 복원하기 때문에 , 정상적인 사용자라면 차단되었던 동일한 IP로 접속을 보장받을 수 있다.
비-인라인( Not - inline ) 구성방식
이상의 실시예에서는 보호해야 할 서버들의 상세정보와 서버별 서비스대역폭을 고려하여 설정된 정책에 기반하여 커널 레벨에서 DDoS공격을 탐지하고 차단하는 동작을 하나의 시스템으로 구현하여 네트워크와 해당 서버들 사이에 인라인 방식으로 설치된 형태에 대하여 설명하였다.
즉, 이상의 실시예에서는 DDoS 탐지/차단 시스템(100)이 네트워크(20)과 서버(300,400,500) 사이에 인라인 브릿지(In-line Bridge)방식으로 설치되어 있기 때문에 네트워크의 게이트웨이 단에서 패킷을 검사하여 DDoS공격여부를 판단하는 형태이다.
이하에서는 DDoS 탐지 기능과 DDoS 차단 기능을 분리하여 각각 별도의 시스템으로 구현하고, 네트워크와 서버 사이에 비-인라인 방식으로 설치하는 형태에 대하여 설명하도록 한다.
도 16은 본 발명의 다른 실시예에 따른 DDoS 공격에 대한DDoS탐지/차단 시 스템의 구성 블록도이다.
도 16을 참조하면, 네트워크(20)와 서버(300) 사이에 DDoS 탐지 시스템(600)과 DDoS 차단 시스템(700)이 비-인라인 방식으로 설치되어 있다.
도 5 내지 도 15에서 상세하게 설명된 바와 같이 보호하고자 하는 서버별 임계치의 설정 및 커널 레벨에서 DDoS 탐지/차단을 수행하는 본 발명의 구성, 동작, 특징 및 장점들은 도 16에 도시된 DDoS 탐지 시스템(600) 및 DDoS 차단 시스템(700)에 적절하게 변형되어 수행되는 것을 전제로 한다. 따라서, 이하에서는 임계치 설정, DDoS 탐지 및 DDoS 차단의 상세한 구성 및 동작은 도 5 내지 도 15에 의해 뒷받침되는 것으로 하며, DDoS 탐지 및 DDoS 차단을 분리된 시스템에서 수행하는 것에 대하여 초점을 맞추어 설명하도록 한다.
네트워크(20)와 서버(300)사이에는 미러링 장치(800)와 절환 스위치(900)가 연결되어 있다. 절환 스위치(900)에는 서버(300)와 DDoS 차단 시스템(700)이 연결되어 있다.
미러링 장치(800)는 네트워크(20)로부터 유입되는 패킷을 미러링 또는 복사하여 그 미러링 또는 복사된 패킷을 DDoS 탐지를 위해 DDoS 탐지 시스템(600)에 제공한다. 미러링 장치(800)는 네트워크 스위치 또는 라우터 장비내에 구현될 수 도 있고, 네트워크 스위치 또는 라우터 장비에 연동하거나 독립적으로 구현될 수 도 있다.
절환 스위치(900)는 미러링 장치(800)를 통해 유입되는 패킷이 서버(300)로 직접 연결되게 하는 제1 경로와, DDoS 차단 시스템(700)을 경유하여 서버(300)에 연결되게 하는 제2 경로 사이에서 패킷의 경로를 절환하는 기능을 수행한다.
즉, 절환 스위치(900)는 평상시에는 제1 경로로 절환되어 미러링 장치(800)를 통해 유입되는 패킷이 서버(300)로 직접 유입되게 하고, DDoS 공격시에는 제2 경로로 절환되어 미러링 장치(800)를 통해 유입되는 패킷이 DDoS 차단 시스템(700)을 경유하여 서버(300)에 유입되게 한다. 절환 스위치(900)에서의 절환 동작은 DDoS탐지 시스템(600)으로부터 입력되는 절환지시 신호에 의해 결정된다.
절환 스위치(900)는 예컨대 스위치/라우터 장비에 또는 별도의 외장형 redirection 스위치로 구현되거나 스위치/라우터 장비와 연동가능하거나 독립적으로 구현될 수 있다. 절환 스위치(900)는 내부로직에 의해서 경로를 변경할 수 있는 브릿지 구조를 포함하고 있다.
여기에서, 미러링 장치(800) 및 절환 장치(900)는 도시된 바와 같이 각각의 분리된 시스템으로 구현할 수 도 있지만, 필요에 따라 하나의 시스템으로 구현할 수 도 있다.
DDoS 탐지 시스템(600)은 미러링 장치(800)를 통해 미러링된 패킷에 대한 검사를 수행하여 DDoS공격 발생 여부를 판단하고, 그에 상응하여 절환 스위치(900)에 절환지시 신호를 출력한다. 즉, DDoS탐지 시스템(600)은 DDoS 공격이 발생하지 않은 평상시에는 패킷의 경로가 제1 경로가 되게 하기 위한 절환지시 신호를 절환 스위치(900)에 출력하고, DDoS 공격이 발생한 경우에는 패킷의 경로가 제2 경로가 되게 하기 위한 절환지시 신호를 절환 스위치(900)에 출력한다. DDoS 탐지 시스템(600)는 절환 스위치(900)에 예컨대, 직렬 통신 이나 USB 통신을 통해 절환지시 신호를 전달할 수 있다.
(DDoS 공격이 없는 경우 )
DDoS 공격이 없는 평상시에는 네트워크(20)로부터 유입된 패킷은 미러링 장치(800), 절환 스위치(900), 서버(300)에 걸치는 제1 경로를 통해 진행된다. 이에 따라, 네트워크(20)를 통해 외부로부터 유입되는 패킷은 미러링 장치(800)를 경유한다. 미러링 장치(800)는 특정 포트를 이용하여 네트워크(20)로부터 유입되는 패킷이 항상 미러링 또는 복사될 수 있도록 설정이 가능하다. 따라서 특정한 포트를 통해서 복사된 패킷은 DDoS탐지 시스템(600)으로 전달된다.
미러링 장치(800)에 의해 DDoS 탐지 시스템(600)으로 복사되고 이 패킷에 대하여 DDoS 탐지 시스템(600)에서는 패킷 분석이 계속 이루어진다. 이러한 패킷 분석은 네트워크 흐름에 영향을 주기 않기 때문에 정상적인 상황에서는 네트워크의 속도지연이 발생하지 않는다.
(DDoS 공격이 있는 경우)
한편, DDoS 탐지 시스템(600)에서 미러링 장치(800)에 의해 미러링된 패킷을 분석하다가 DDoS공격이 탐지되는 경우, DDoS 탐지 시스템(600)은 절환 스위치(900)에 제1 경로에서 제2 경로로의 절환지시 신호를 출력한다. 절환 스위치(900)에서의 절환으로 인해 패킷 경로가 제1 경로에서 제2 경로로 변경된 이후에는 미러링 장치(800)를 경유하여 절환 스위치(900)에 전달된 패킷은 DDoS 차단 시스템(700)을 경유하는 제2 경로로 진행하게 되기 때문에 DDoS공격이 계속되는 동안에는 DDoS 차단 시스템(700)에서DDOS공격에 대한 차단동작이 이루어지게 된다.
이후 DDoS공격이 소멸되었을 경우 DDoD 탐지 시스템(600)은 다시 이에 맞추어 절환 스위치(900)에서 제2 경로에서 제1 경로로의 절환 지시 신호를 전달한다. 이에 따라, 절환 스위치(900)는 패킷의 경로를 제2 경로에서 제1 경로로 절환하여 원래의 제1 경로로 패킷이 흐르도록 절체된다. 이로써 정상상태와 비정상상태, 그리고 다시 정상상태로 돌아오는 과정이 진행된다.
도 16에 도시된 본 발명의 다른 실시예는 도 5에 도시된 본 발명의 일실시예에 비하여 DDoS 공격이 없는 평상시에는 네트워크에 부하를 주지 않는 TAP방식으로 연결되어 있다가 DDoS공격이 발생할 때만 인라인(in-line)모드로 동작하는 특성을 지니고 있어서 DDoS탐지/차단 시스템이 네트워크와 서버사이에 인라인(In-line)설치됨으로 인해 발생될 수 있는 네트워크 부하 또는 네트워크 지연을 회피할 수 있다.
도 17은 본 발명의 또 다른 실시예에 따른 DDoS 공격에 대한DDoS탐지/차단 시스템의 구성 블록도이다.
도 17을 도 5와 비교하면, 도 5에서는 DDoS 탐지/차단 시스템(100)이 네트워크(20)와 서버(300) 사이에 인라인 방식으로 설치되었지만, 도 15에서는 DDoS 탐지/차단 시스템(100)이 도 16에서 상세하게 설명되었던 미러링 장치(800) 및 절환 장치(900)에 의해 비-인라인 방식으로 설치되어 있다. 따라서, 도 17에 도시된 DDoS 탐지/차단 시스템(100)은 도 5에서 DDoS 탐지/차단 시스템(100)이 인라인 방식으로 설치됨으로 인해 발생될 수 있는 네트워크 지연의 소지를 해결할 수 있다. 아울러, 여기에서도 미러링 장치(800) 및 절환 장치(900)는 필요에 따라 도시된 바 와 같이 각각의 분리된 시스템으로 구현할 수 도 있고, 하나의 시스템에 구현할 수 도 있다.
이상의 본 발명은 상기에 기술된 실시예에 의해 한정되지 않고, 당업자들에 의해 다양한 변형 및 변경을 가져올 수 있으며, 이는 첨부된 청구항에서 정의되는 본 발명의 취지와 범위에 포함된다.
도 1은 DDoS 공격에 대하여 에지 라우터에서 대응방법을 설명하기 위한 도면이다.
도 2내지 도 4는 2009년 7월8일에 발표된 한국정보 보호진흥원의 7/7 DDoS공격에 대한 보고서이다.
도 5는 본 발명의 일실시예에 따른 DDoS 공격에 대한DDoS탐지/차단 시스템의 구성 블록도이다.
도 6은 TCP 프로토콜의 접속의 과정을 나타내는 도면이다.
도 7은 비교예에 따른 DDoS방어 장비에서 구현되고 있는 DDOS탐지/차단을 설명하기 위한 도면이다.
도 8은 비교예에 따른 DDoS방어 장비에서 임계치를 설정하는 것을 설명하기 위한 도면이다.
도 9은 도 5에 도시되었던 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템의 커널 기반 탐지/차단 모듈의 구성 블록도이다.
도 10은 도 9에 도시된 차단 모듈의 구성 블록도이다.
도 11은 도 10에 도시된 시간 기반 룰 모듈중 TCP 룰 모듈의 상세 블록도이다.
도 12는 도 5에 도시되었던 본 발명의 일실시예에 따른 DDoS탐지/차단 시스템에서 서버별 임계치를 설정하는 것을 설명하기 위한 도면이다.
도 13은 도 5에 도시되었던 본 발명의 일실시예에 따른 DDoS탐지/차단 시스 템에서 서버별 임계치를 설정하는 것을 설명하기 위한 도면이다.
도 14는 본 발명의 일실시예에 따른 DDoS 탐지/차단 시스템에서 2가지의 임계치 조건이 적용되는 우선 순위를 설명하기 위한 도면이다.
도 15는 본 발명의 일실시예에 따른 DDoS 탐지/차단 시스템의 캐시 관리 모듈에서 차단된 IP 정보를 활용하거나 특정시간 이후에 차단 IP정보를 리셋시키는 것을 설명하기 위한 도면이다.
도 16은 본 발명의 다른 실시예에 따른 DDoS 공격에 대한DDoS탐지/차단 시스템의 구성 블록도이다.
도 17은 본 발명의 또 다른 실시예에 따른 DDoS 공격에 대한 DDoS탐지/차단 시스템의 구성 블록도이다.

Claims (14)

  1. DDoS 공격으로부터 보호하고자 하는 컴퓨팅 장치의 앞단에 위치하는 DDOS 탐지/차단 시스템으로서,
    상기 컴퓨팅 장치를 목적지로 하여 유입되는 패킷에 대하여, 커널 레벨에서, 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 설정된 제1 임계치 및 상기 컴퓨팅 장치별로 설정된 제2 임계치에 기반하여 DDoS 공격을 탐지하고 차단하는 커널 기반 탐지/차단 모듈;
    상기 커널 기반 탐지/차단 모듈에서 적용할 상기 임계치를 설정하는 임계치 설정모듈을 포함하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  2. 청구항 1에 있어서, 상기 커널 기반 탐지/차단 모듈은,
    이더넷 인터페이스를 통해 유입되는 패킷을 수집하는 패킷 수집 모듈;
    상기 패킷 수집 모듈에 의해 수집된 패킷에 의한 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하는 탐지 모듈;
    상기 DDoS공격이 탐지되는 경우 해당 패킷을 차단하는 차단 모듈을 커널 레벨에 포함하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  3. 청구항 2에 있어서, 상기 탐지 모듈은 비연결형 프로토콜 및 연결형 프로토 콜을 처리하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  4. 청구항 2에 있어서, 상기 탐지 모듈은 설정된 정책 또는 프로토콜 종류에 따라 트래픽 공격을 탐지하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  5. 청구항 1에 있어서,
    상기 임계치 설정모듈은 프로토콜별로 임계치를 설정하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  6. 청구항 1에 있어서,
    상기 커널 기반 탐지/차단 모듈은 상기 제2 임계치를 상기 제1 임계치보다 우선하여 상기 탐지 및 차단을 위한 조건으로 사용하는 것을 특징으로 하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  7. 청구항 1에 있어서,
    정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 캐시 관리 모듈을 더 포함하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  8. 청구항 7에 있어서,
    상기 캐시 관리 모듈은 일정시간마다 상기 커널 기반 탐지/차단 모듈에 의해 차단된 근원지의 IP 정보를 저장하고 있는 캐시를 리셋시켜주는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  9. 청구항 1에 있어서,
    유입되는 패킷을 미러링하는 미러링 장치; 및
    상기 미러링 장치를 경유하여 유입된 패킷을 제1 경로 또는 제2 경로로 절환시켜 상기 컴퓨팅 장치에 출력하는 절환 스위치를 더 포함하고,
    상기 커널 기반 탐지/차단 모듈은,
    상기 미러링 장치에 의해 미러링된 패킷을 전달받아, 커널레벨에서, 해당 패킷의 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하고, DDoS 공격이 탐지되지 않는 경우에는 제1 경로를 위한 절환 지시 신호를, DDoS 공격이 탐지되는 경우에는 제2 경로를 위한 절환지시 신호를 상기 절환 스위치에 출력하는 탐지 모듈; 및
    상기 DDoS공격이 탐지되는 경우, 상기 절환 스위치를 통해 패킷을 전달받아 커널 레벨에서, DDoS차단을 수행하는 차단 모듈을 포함하되,
    상기 제1 경로는 상기 절환 스위치, 상기 컴퓨팅 장치로 연결되는 경로이고, 상기 제2 경로는 절환 스위치, 상기 차단 모듈, 상기 컴퓨팅 장치로 연결되는 경로인 것을 특징으로 하는 DDoS 공격에 대한 DDoS 탐지/차단 시스템.
  10. DDoS 공격으로부터 보호하고자 하는 컴퓨팅 장치의 앞단에 위치하는 DDOS 탐지/차단 시스템에서의 DDoS 공격에 대한 DDoS 탐지/차단방법으로서,
    DDoS 공격의 탐지 및 차단에 적용할 네트워크의 정상적인 운용을 위한 허용 네트워크 대역폭을 기준으로 제1 임계치 및 상기 컴퓨팅 장치별로 제2 임계치를 설정하는 단계; 및
    커널 레벨에서, 유입되는 패킷에 대하여, 상기 설정된 임계치들에 기반하여 DDoS 공격에 대한 탐지 및 차단을 수행하는 단계를 포함하는 DDoS 공격에 대한 DDoS 탐지/차단방법.
  11. 청구항10에 있어서, 상기 탐지 및 차단을 수행하는 단계는,
    이더넷 인터페이스를 통해 유입되는 패킷을 수집하는 단계;
    상기 수집된 패킷에 의한 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하는 단계; 및
    상기 DDoS공격이 탐지되는 경우 해당 패킷을 차단하는 단계를 커널 레벨에서 수행하는 DDoS 공격에 대한 DDoS 탐지/차단방법.
  12. 청구항 10에 있어서,
    상기 탐지 및 차단하는 단계는 상기 제2 임계치를 상기 제1 임계치보다 우선하여 상기 탐지 및 차단을 위한 조건으로 사용하는 것을 특징으로 하는 DDoS 공격에 대한 DDoS 탐지/차단방법.
  13. 청구항 10에 있어서,
    정상적인 사용자를 보호하기 위하여 트래픽 공격으로부터 차단된 패킷을 일정 시간후에 IP기준으로 허용하도록 캐시를 관리하는 단계를 더 포함하는 DDoS 공격에 대한 DDoS 탐지/차단방법.
  14. 청구항 10에 있어서,
    상기 DDoS 공격에 대한 탐지 및 차단을 수행하는 단계는,
    미러링 장치를 통해 유입되는 패킷을 미러링하는 단계;
    상기 미러링 장치를 경유하여 유입된 패킷을 절환 스위치를 이용하여 제1 경로 또는 제2 경로로 절환시켜 상기 컴퓨팅 장치에 출력하는 단계를 더 포함하되,
    상기 DDoS 공격에 대한 탐지 및 차단을 수행하는 단계는,
    상기 미러링 장치에 의해 미러링된 패킷을 전달받아, 탐지 모듈을 이용하여 커널레벨에서, 해당 패킷의 트래픽이 설정된 임계치를 초과하는지 여부에 따라 DDoS 공격을 탐지하고, DDoS 공격이 탐지되지 않는 경우에는 제1 경로를 위한 절환 지시 신호를, DDoS 공격이 탐지되는 경우에는 제2 경로를 위한 절환지시 신호를 상기 절환 스위치에 출력하는 단계; 및
    상기 DDoS공격이 탐지되는 경우, 차단 모듈을 이용하여 상기 절환 스위치를 통해 패킷을 전달받아 커널 레벨에서, DDoS차단을 수행하는 단계를 더 포함하되,
    상기 제1 경로는 상기 절환 스위치, 상기 컴퓨팅 장치로 연결되는 경로이고, 상기 제2 경로는 상기 절환 스위치, 상기 차단 모듈, 상기 컴퓨팅 장치로 연결되는 경로인 것을 특징으로 하는 DDoS 공격에 대한 DDoS 탐지/차단방법.
KR1020090106228A 2009-11-04 2009-11-04 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 KR101042291B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090106228A KR101042291B1 (ko) 2009-11-04 2009-11-04 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090106228A KR101042291B1 (ko) 2009-11-04 2009-11-04 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20110049282A true KR20110049282A (ko) 2011-05-12
KR101042291B1 KR101042291B1 (ko) 2011-06-17

Family

ID=44360441

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090106228A KR101042291B1 (ko) 2009-11-04 2009-11-04 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101042291B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101147483B1 (ko) * 2011-11-25 2012-05-22 주식회사 엑스엔시스템즈 하이브리드 DDoS 차단 시스템 및 그 방법
US20140075537A1 (en) * 2012-09-13 2014-03-13 Electronics And Telecommunications Research Institute Method and apparatus for controlling blocking of service attack by using access control list
KR20140050450A (ko) * 2012-10-19 2014-04-29 (주)나루씨큐리티 분산서비스거부공격 탐지 방법 및 장치
KR20190093984A (ko) * 2018-02-02 2019-08-12 박승필 장치 간 보안 유효성을 평가하는 방법 및 시스템
KR20200029266A (ko) * 2018-09-10 2020-03-18 대우조선해양 주식회사 선박 통신네트워크 해킹방지 보안시스템
CN114124419A (zh) * 2020-08-27 2022-03-01 北京秦淮数据有限公司 一种ddos攻击防御方法及装置
CN114726633A (zh) * 2022-04-14 2022-07-08 中国电信股份有限公司 流量数据处理方法及装置、存储介质及电子设备

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101498495B1 (ko) * 2013-08-26 2015-03-05 홍익대학교 산학협력단 DDoS 허위 트래픽을 차단하기 위한 시스템 및 그 방법
KR102550813B1 (ko) 2016-03-04 2023-07-03 삼성에스디에스 주식회사 네트워크 보안 시스템 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100543664B1 (ko) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 네트워크 보호 장치 및 이의 운영 방법
US20040128539A1 (en) * 2002-12-30 2004-07-01 Intel Corporation Method and apparatus for denial of service attack preemption
KR100614775B1 (ko) * 2004-08-20 2006-08-22 (주)한드림넷 네트워크 보호 장치 및 방법
KR100757076B1 (ko) 2006-03-27 2007-09-10 주식회사 라오넷 플로우량 조절기능을 갖는 네트워크 장비

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101147483B1 (ko) * 2011-11-25 2012-05-22 주식회사 엑스엔시스템즈 하이브리드 DDoS 차단 시스템 및 그 방법
US20140075537A1 (en) * 2012-09-13 2014-03-13 Electronics And Telecommunications Research Institute Method and apparatus for controlling blocking of service attack by using access control list
US8839406B2 (en) 2012-09-13 2014-09-16 Electronics And Telecommunications Research Institute Method and apparatus for controlling blocking of service attack by using access control list
KR20140050450A (ko) * 2012-10-19 2014-04-29 (주)나루씨큐리티 분산서비스거부공격 탐지 방법 및 장치
KR20190093984A (ko) * 2018-02-02 2019-08-12 박승필 장치 간 보안 유효성을 평가하는 방법 및 시스템
KR20200029266A (ko) * 2018-09-10 2020-03-18 대우조선해양 주식회사 선박 통신네트워크 해킹방지 보안시스템
CN114124419A (zh) * 2020-08-27 2022-03-01 北京秦淮数据有限公司 一种ddos攻击防御方法及装置
CN114726633A (zh) * 2022-04-14 2022-07-08 中国电信股份有限公司 流量数据处理方法及装置、存储介质及电子设备
CN114726633B (zh) * 2022-04-14 2023-10-03 中国电信股份有限公司 流量数据处理方法及装置、存储介质及电子设备

Also Published As

Publication number Publication date
KR101042291B1 (ko) 2011-06-17

Similar Documents

Publication Publication Date Title
Birkinshaw et al. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks
Eliyan et al. DoS and DDoS attacks in Software Defined Networks: A survey of existing solutions and research challenges
Dayal et al. Research trends in security and DDoS in SDN
KR101042291B1 (ko) 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
US10116692B2 (en) Scalable DDoS protection of SSL-encrypted services
EP3178216B1 (en) Data center architecture that supports attack detection and mitigation
Weaver et al. Very fast containment of scanning worms, revisited
Geva et al. Bandwidth distributed denial of service: Attacks and defenses
US8819821B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
Mahimkar et al. dFence: Transparent Network-based Denial of Service Mitigation.
Mihai-Gabriel et al. Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory
Mohammadi et al. SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking
Jeyanthi et al. Packet resonance strategy: a spoof attack detection and prevention mechanism in cloud computing environment
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
Huang et al. FSDM: Fast recovery saturation attack detection and mitigation framework in SDN
Tiruchengode Dynamic approach to defend against distributed denial of service attacks using an adaptive spin lock rate control mechanism
Poongothai et al. Simulation and analysis of DDoS attacks
Karnani et al. A comprehensive survey on low-rate and high-rate DDoS defense approaches in SDN: taxonomy, research challenges, and opportunities
Gurusamy et al. Detection and mitigation of UDP flooding attack in a multicontroller software defined network using secure flow management model
KR101230919B1 (ko) 이상 트래픽 자동 차단 시스템 및 방법
Ghorbani et al. Network attacks
Devi et al. Cloud-based DDoS attack detection and defence system using statistical approach
Patil et al. Port scanning based model to detect Malicious TCP traffic and mitigate its impact in SDN
Chatterjee Design and development of a framework to mitigate dos/ddos attacks using iptables firewall

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140610

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150430

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160602

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180327

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190326

Year of fee payment: 9